Hallo,
ich wollte eure Meinung zu folgendem Setup hören (VPN ist nicht möglich, bitte nicht vorschlagen):
- Windows Server 2022 VM auf meines NAS
- Windows Server 2022 Standard RDP Port 3389 aktiv, RDP Zugang aber eingeschränkt nach Quell-IP des Docker Containers Apache Guacamole
- Windows Server 2022 Login abgesichert mit DUO 2FA
- Docker Container Apache Guacamole
- Standard Nutzername gelöscht, neuen Account mit Administratorrechten angelegt
- RDP Zugang zum Windows Server 2022 hinterlegt (ohne Passwort)
- 2FA auch für Apache Guacamole
- Synology Reverse Proxy Manager eingerichtet (und hier fangen die Fragen bei mir an):
Quelle:
- Protokoll HTTPS
- Hostname (DDNS gemapped auf meine öffentliche Ip meines Speedport)
- Port 61322
- HSTS aktivieren JA
- Zugangsprofil: RemoteAccess
Ziel:
Protokoll http
Hostname: Ip meiner Synology Diskstation
Port: 8348
Zugangsprofil sieht so aus:
Quell IP 1: Zulassen
Quell IP 2: Zulassen
Firewall Portforwarding Port 61322 auf DS, wenn man meine DDNS mit DDNS-Name:61322 anspricht.
Drei Sachen, die mir überhaupt nicht gefallen:
1.
Rufe ich DDNS-Name:61322 ohne https auf, bekomme ich:
nginx
Ich hätte hier am liebsten überhaupt keine Antwort des Servers.
2. Scheint mir die Zugriffskontrolle nicht zuverlässig zu funktionieren., wenn ich auf spezifische Quell-Ips einschränken möchte.
Stelle ich auf "Alle" verweigern, wird mir folgendes angezeigt:
Das finde ich auch richtig schlecht. Lieber wär mir auch hier überhaupt keine Antwort.
Nehme ich "Alle" verweigern raus, und nur "Zulassen" bei spezifischen Quell-Ips kann trotzdem jede Ip (getestet mit Handy im Mobilfunknetz) darauf zugreifen...
Ich hoffe, ihr könnt mir weiterhelfen.
a) Ist das grundsätzliche Setup "sicher"?
b) Lässt sich das mit der Zugriffskontrolle und dem nicht Antworten auf Anfragen irgendwie lösen?
Danke.
Edit:
Ich habe auch gerade mal mit der Firewall rumgespielt. Habe hier das gleiche Problem. Einschränkung auf Quell-Ips funktioniert überhaupt nicht. Stelle ich jedoch auf Quell-Ip "Alle verweigern" funktioniert das. Aber das nur spezifische zu erlauben, klappt überhaupt nicht.
??
ich wollte eure Meinung zu folgendem Setup hören (VPN ist nicht möglich, bitte nicht vorschlagen):
- Windows Server 2022 VM auf meines NAS
- Windows Server 2022 Standard RDP Port 3389 aktiv, RDP Zugang aber eingeschränkt nach Quell-IP des Docker Containers Apache Guacamole
- Windows Server 2022 Login abgesichert mit DUO 2FA
- Docker Container Apache Guacamole
- Standard Nutzername gelöscht, neuen Account mit Administratorrechten angelegt
- RDP Zugang zum Windows Server 2022 hinterlegt (ohne Passwort)
- 2FA auch für Apache Guacamole
- Synology Reverse Proxy Manager eingerichtet (und hier fangen die Fragen bei mir an):
Quelle:
- Protokoll HTTPS
- Hostname (DDNS gemapped auf meine öffentliche Ip meines Speedport)
- Port 61322
- HSTS aktivieren JA
- Zugangsprofil: RemoteAccess
Ziel:
Protokoll http
Hostname: Ip meiner Synology Diskstation
Port: 8348
Zugangsprofil sieht so aus:
Quell IP 1: Zulassen
Quell IP 2: Zulassen
Firewall Portforwarding Port 61322 auf DS, wenn man meine DDNS mit DDNS-Name:61322 anspricht.
Drei Sachen, die mir überhaupt nicht gefallen:
1.
Rufe ich DDNS-Name:61322 ohne https auf, bekomme ich:
400 Bad Request
The plain HTTP request was sent to HTTPS portnginx
Ich hätte hier am liebsten überhaupt keine Antwort des Servers.
2. Scheint mir die Zugriffskontrolle nicht zuverlässig zu funktionieren., wenn ich auf spezifische Quell-Ips einschränken möchte.
Stelle ich auf "Alle" verweigern, wird mir folgendes angezeigt:
Sorry, the page you are looking for is not found.
Das finde ich auch richtig schlecht. Lieber wär mir auch hier überhaupt keine Antwort.
Nehme ich "Alle" verweigern raus, und nur "Zulassen" bei spezifischen Quell-Ips kann trotzdem jede Ip (getestet mit Handy im Mobilfunknetz) darauf zugreifen...
Ich hoffe, ihr könnt mir weiterhelfen.
a) Ist das grundsätzliche Setup "sicher"?
b) Lässt sich das mit der Zugriffskontrolle und dem nicht Antworten auf Anfragen irgendwie lösen?
Danke.
Edit:
Ich habe auch gerade mal mit der Firewall rumgespielt. Habe hier das gleiche Problem. Einschränkung auf Quell-Ips funktioniert überhaupt nicht. Stelle ich jedoch auf Quell-Ip "Alle verweigern" funktioniert das. Aber das nur spezifische zu erlauben, klappt überhaupt nicht.
??
Zuletzt bearbeitet:
